1. 首页>
  2. 资讯中心

【安全通告】Apache Tomcat Session反序列化代码执行漏洞通告(CVE-2020-9484)

腾讯云 2020年05月23日 浏览277

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到Apache官方披露了一个通过持久化Session可能导致远程代码执行的漏洞(CVE-2020-9484),攻击者可利用该漏洞构造恶意请求,实施反序列化代码执行攻击。

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

经分析,该漏洞利用存在多个条件限制:

1)攻击者可以控制服务器上的文件名/文件内容;

2)服务器上配置使用了 PersistenceManager 的 FileStore;

3)PersistenceManager配置了 sessionAttributeValueClassNameFilter 值为“NULL”或者其他宽松的过滤器,使得攻击者可以提供反序列化对象;

4)攻击者知道 FileStore 使用的存储位置到可控文件的相对路径。

在同时满足以上4个条件时,攻击者可以发送一个恶意构造的请求,来造成反序列化代码执行漏洞。

风险等级

中风险

漏洞风险

若服务器存在上述弱配置,攻击者利用后可获取系统命令执行权限

影响版本

Apache Tomcat 10.x < 10.0.0-M5

Apache Tomcat 9.x < 9.0.35

Apache Tomcat 8.x < 8.5.55

Apache Tomcat 7.x < 7.0.104

修复版本

Apache Tomcat 10.x >= 10.0.0-M5

Apache Tomcat 9.x >= 9.0.35

Apache Tomcat 8.x >= 8.5.55

Apache Tomcat 7.x >= 7.0.104

修复建议

1. 请受影响的用户尽快升级版本进行防护,官方下载链接:

    Apache Tomcat 10.0.0-M5:https://tomcat.apache.org/download-10.cgi

    Apache Tomcat 9.0.35:https://tomcat.apache.org/download-90.cgi

    Apache Tomcat 8.5.55:https://tomcat.apache.org/download-80.cgi

    Apache Tomcat 7.0.104:https://tomcat.apache.org/download-70.cgi

2. 不方便升级的用户,建议暂时禁用 FileStore 功能,或单独配置 sessionAttributeValueClassNameFilte 的值来确保只有特定属性的对象可以被序列化/反序列化。


漏洞参考

1)官方更新通告:https://tomcat.apache.org/security.html

2)社区漏洞报告:https://seclists.org/oss-sec/2020/q2/136


相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013